Infobloxインテグレーションガイド🔗
Secureworks® Taegis™ XDRは、Infoblox BloxOne Threat Defense Data Connectorのログを、CEF over syslogとしてTaegis™ XDR Collectorに送信された場合に取り込みます。メッセージは、Data Connector CEFヘッダーのパターン CEF:<version>|Infoblox|Data Connector|... に一致している必要があります。
フィールドおよびログタイプのリファレンスについては、以下のInfobloxドキュメントを参照してください。
サポートされているログタイプ(強化された正規化): CEF Name(Infobloxログタイプ)、DNS Query、およびDNS Response。同じベンダーおよびプロダクトの他のData Connector CEFメッセージも受信可能ですが、利用可能な拡張やログタイプについては上記リンクのInfobloxマッピングドキュメントを参照してください。
お客様のBloxOne環境に合わせてInfobloxのドキュメントを利用し、Data Connectorの出力が下記のコレクターアドレスおよびポートに送信されるようにsyslog転送をXDR向けに設定してください。
ファイアウォール要件🔗
| ソース | 宛先 | ポート/プロトコル |
|---|---|---|
| Infoblox BloxOne / syslog転送ホスト | XDR Collector (mgmt IP) | UDP/514 |
インテグレーションから提供されるデータ🔗
| 正規化されたデータ | 汎用的な検知 | ベンダー固有の検知 | |
|---|---|---|---|
| Infoblox (BloxOne Threat Defense Data Connector, CEF) | DNS |
注意
XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマへ正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検知を生成することができます。
ログ設定手順🔗
InfobloxのBloxOne Threat Defenseドキュメントを利用して、Data Connectorのログを有効化し、以下のガイダンスに従って外部syslogサーバーへログを送信してください。
- syslogの送信先をXDR CollectorのUDPポート514に設定してください。
- ストリームには、CEFデバイスベンダーがInfoblox、CEFデバイスプロダクトがData ConnectorであるCEFペイロードが含まれていることを確認してください(上記のマッピングガイドを参照)。
具体的なメニューや前提条件は、お客様のBloxOne製品およびバージョンによって異なります。お客様の環境に合わせてベンダーガイドに従ってください。
注意
Data Connectorイベントは、XDRのセンサータイプInfobloxとして正規化されます。
NIOS BIND named syslog🔗
一部のNIOSグリッドは、DNSアクティビティを従来のBIND named syslog形式(テキストにnamed[<pid>]:プロセススタンプが含まれ、Data Connector CEFヘッダーは含まれません)で転送します。これはXDRで以下のように処理されます。
- トラフィックは、Infoblox Data Connector CEFパーサーではなく、汎用Named syslogパーサーによって処理されます。
- イベントは、XDRのセンサータイプ
namedとして正規化されます。これは、本ページで説明したBloxOne Threat Defense Data Connector CEFメッセージに使用されるInfobloxセンサータイプとは別のものです。